Un gruppo ransomware noto come Qilin ha rivendicato la responsabilità di aver violato una cooperativa elettrica statunitense, sollevando preoccupazioni sui potenziali rischi informatici che affrontano gli operatori delle infrastrutture elettriche. Il gruppo ha elencato la Tennessee Valley Electric Cooperative (TVEC) come vittima sul suo sito di fughe di notizie sul dark web, una piattaforma utilizzata dalle bande di ransomware per fare pressione sulle organizzazioni durante campagne di estorsione.
TVEC ha sede a Savannah, Tennessee, e fornisce elettricità ai clienti delle contee di Wayne e Hardin nel West Tennessee attraverso circa 2.000 miglia di linee di distribuzione elettrica. La cooperativa è anche membro della rete elettrica pubblica della Tennessee Valley Authority, un’utility di proprietà federale che fornisce elettricità in tutta la regione della Tennessee Valley.
Il gruppo ransomware non ha pubblicato campioni di dati rubati collegati alla presunta violazione. Elencare un’azienda su un sito di fughe di notizie senza rilasciare prove è una tattica spesso usata dagli operatori di ransomware per avviare negoziati con le vittime. In molti casi, gli attaccanti pubblicano poi piccoli campioni di dati se l’organizzazione non risponde alle richieste di riscatto.
Al momento del rapporto, non era chiaro se fossero stati esfiltrati dati o se i sistemi operativi della cooperativa fossero stati influenzati. L’azienda non aveva confermato pubblicamente l’incidente informatico e i dettagli sull’entità della presunta intrusione non erano stati resi noti.
I ricercatori di sicurezza hanno osservato che i gruppi ransomware prendono spesso di mira organizzazioni collegate alle infrastrutture critiche a causa della potenziale pressione che tali incidenti possono esercitare sulle vittime. Se gli attaccanti ottengono documenti interni o informazioni operative, l’esposizione di tali materiali potrebbe rivelare come funzionano i sistemi interni o fornire dettagli utili per futuri attacchi informatici.
Qilin è un gruppo ransomware nato per la prima volta nel 2022 e da allora ha condotto attacchi contro organizzazioni in diversi settori. Il gruppo gestisce un sito di fuga di dati sul dark web dove pubblica i nomi delle aziende che sostiene di aver violato. Secondo il monitoraggio dei ricercatori di cybersecurity, la gang ha registrato più di 1.400 vittime dal 2023.
Negli ultimi mesi, Qilin è stato collegato ad attacchi contro organizzazioni nei settori dell’aviazione, della finanza, della manifattura e dell’energia. Il gruppo ha precedentemente rivendicato la responsabilità di incidenti che coinvolgevano aziende come Malaysia Airlines e diverse compagnie elettriche in Nord America.
Gli attacchi ransomware contro infrastrutture energetiche hanno attirato sempre più attenzione da parte dei ricercatori di sicurezza e delle agenzie governative a causa del potenziale impatto sui servizi essenziali. Le cooperative elettriche e le utility regionali spesso gestiscono grandi reti di distribuzione che forniscono energia a migliaia di famiglie e imprese.
Per ora, la presunta violazione che coinvolge TVEC rimane non verificata. Investigatori e ricercatori di sicurezza continuano a monitorare il sito di fuga di notizie e le comunicazioni del gruppo ransomware per ulteriori informazioni sulla denuncia e su eventuali rilasci di dati.